wake-up-neo.net

Comodo SSL: ERR_CERT_AUTHORITY_INVALID für Chrome Mobile und Opera Mobile (Android)

Bei einigen mobilen Browsern, z. B. Chrome Mobile für Android, erhalte ich die Fehlermeldung "ERR_CERT_AUTHORITY_INVALID", wenn ich eine Verbindung zu meiner https-Website herstelle. Ich habe dieses Problem nicht auf allen mobilen Browsern (wie Firefox) und es gibt kein Problem auf dem PC.

Mein Zertifikat ist ein Comodo Extended Validation-Zertifikat ..__ Ich unterzeichne einen Vertrag mit Gandi.net, einer französischen SSL-Zertifizierungsstelle, und Gandi ist dafür verantwortlich, das Comodo EV-Zertifikat zu erhalten und mir zu geben . Gandi gab mir eine Basis PEM-Zertifikat + ein Zwischen-PEM-Zertifikat. Ich habe beides installiert.

Ich habe Analysen auf https://www.ssllabs.com/ssltest/analyze.html durchgeführt und dort steht "Extra Download" für eines der Zertifikate (genannt "COMODO RSA Certification Authority"), während ich alle Zertifikate installierte Ich bin von Gandi gekommen.

Ich habe versucht, in diesen Thread zu schauen, aber es hat nicht geholfen: SSL-Zertifikat "err_cert_authority_invalid" nur für Mobil-Chrome

Weiß jemand was falsch ist? Vielen Dank.

17
Julien Salinas

Für Interessierte ist hier, wie ich das Problem gelöst habe. 

Problem: In meiner Zertifikatskette fehlte ein zwischenzeitliches Comodo-Zertifikat. Meine SSL-Zertifizierungsstelle (Gandi.net) war für die Beziehung zu Comodo zuständig, und Gandi gab mir nur zwei Zertifikate: ein Basiszertifikat + ein Zwischenzertifikat. Beide waren im .pem-Format. Ich habe beides installiert und es war für fast jeden Browser ausreichend, außer für einige mobile Browser. Tatsächlich fehlte ein Comodo-Zwischenzertifikat mit dem Namen "COMODO RSA Certification Authority".

Lösung in 2 Schritten: 

1) fand das Repository mit allen Comodo-Zertifikaten hier https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/0/which-is-root-which-is -mittlere . Ich kopierte mein eingefügtes .PEM-Format von dieser Seite https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/977/108/extended-validation-sha-2 (wird hier "# intermedi1" genannt, nicht "COMODO RSA Certification Authority").

2) Verkettet dieses neue Zwischenzertifikat mit dem ersten Zwischenzertifikat, das ich bereits hatte (auf der Comodo-Website "# intermedi2" genannt), indem es dieses neue Zertifikat an the end des ersten Zertifikats anlegt. Ich habe es so gemacht: 

-----BEGIN CERTIFICATE-----
intermediate#2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate#1
-----END  CERTIFICATE-----

Hoffe es wird helfen!

11
Julien Salinas

Ich hosten meine Website unter Nginx und hatte auch das gleiche Problem mit meiner Android-Anwendung. Die obige akzeptierte Antwort brachte mich zu meiner Lösung:

Nach dem Erhalt des Zertifikats (my-domain.crt) habe ich eine Begrenzungsdatei erstellt, die durch Kombinieren meines Zertifikats mit ComodoRSADomainCA und ComodoRSAAddTrustCA PEM-Inhalt erstellt wurde

cat my-domain.crt ComodoRSADomain.crt ComodoRSAAddTrustCA.crt > ssl-boundle.crt

Wenn ich ssl-boundle.crt mit nginx verknüpfte, hatten die Clients keine Probleme beim Datenaustausch. Und auch ich habe dieses schöne Ergebnis auf ssllabs erhalten:

 The happy score :)

5
RonzyFonzy

Die Zertifikatskette ist unvollständig. Der "Extra-Download" beweist es.

Sie müssen die Kette mit dem fehlenden Zertifikat senden, das von ssllabs angegeben wird.

Beachten Sie, dass die Verbindung meistens funktioniert, da Browser Zertifikate im Cache speichern.

3
Tom

Nach dem Erstellen des Bundles, falls das Problem bestehen bleibt, wurden in meinem Fall einige zusätzliche Leerzeichen am Ende von .pem und Chrome als unsicher angezeigt und auf Firefox funktioniert es gut. Nachdem ich sie entfernt habe, geht alles in Ordnung. Ich hoffe, das hilft jemandem.

0
onalbi